Chiến dịch lừa đảo tinh vi nhắm vào cộng đồng tiền điện tử
Một chiến dịch lừa đảo tinh vi mới đang nhắm vào các tài khoản X của những nhân vật trong cộng đồng tiền điện tử, sử dụng các chiến thuật vượt qua xác thực hai yếu tố và có vẻ đáng tin cậy hơn so với các trò lừa đảo truyền thống. Theo một bài đăng trên X vào thứ Tư của nhà phát triển tiền điện tử Zak Cole, chiến dịch này tận dụng cơ sở hạ tầng của chính X để chiếm đoạt tài khoản của các nhân vật trong cộng đồng tiền điện tử.
“Không phát hiện. Đang hoạt động ngay bây giờ. Chiếm đoạt tài khoản hoàn toàn,”
anh nói. Cole nhấn mạnh rằng cuộc tấn công không liên quan đến một trang đăng nhập giả mạo hay việc đánh cắp mật khẩu. Thay vào đó, nó tận dụng hỗ trợ ứng dụng X để có được quyền truy cập vào tài khoản trong khi cũng vượt qua xác thực hai yếu tố. Nhà nghiên cứu bảo mật MetaMask, Ohm Shah, xác nhận đã thấy cuộc tấn công “trong thực tế,” gợi ý về một chiến dịch rộng lớn hơn, và một người mẫu OnlyFans cũng đã trở thành mục tiêu của một phiên bản kém tinh vi hơn của cuộc tấn công.
Tạo ra một thông điệp lừa đảo đáng tin cậy
Đặc điểm nổi bật của chiến dịch lừa đảo này là sự đáng tin cậy và kín đáo của nó. Cuộc tấn công bắt đầu bằng một tin nhắn trực tiếp trên X chứa một liên kết có vẻ như chuyển hướng đến miền Google Calendar chính thức, nhờ vào cách mà nền tảng mạng xã hội này tạo ra các bản xem trước. Trong trường hợp của Cole, tin nhắn giả vờ đến từ một đại diện của công ty đầu tư mạo hiểm Andreessen Horowitz.
Miền mà tin nhắn liên kết đến là x(.)ca-lendar(.)com và đã được đăng ký vào thứ Bảy. Tuy nhiên, X vẫn hiển thị calendar.google.com hợp pháp trong bản xem trước nhờ vào siêu dữ liệu của trang web, khai thác cách mà X tạo ra các bản xem trước từ siêu dữ liệu của nó.
“Bộ não của bạn thấy Google Calendar. URL thì khác.”
Khi được nhấp vào, JavaScript của trang sẽ chuyển hướng đến một điểm xác thực X yêu cầu quyền truy cập cho một ứng dụng vào tài khoản mạng xã hội của bạn. Ứng dụng có vẻ như là “Calendar,” nhưng kiểm tra kỹ thuật văn bản cho thấy rằng tên ứng dụng chứa hai ký tự Cyrillic trông giống như một “a” và một “e,” khiến nó trở thành một ứng dụng khác biệt so với ứng dụng “Calendar” thực sự trong hệ thống của X.
Dấu hiệu tiết lộ cuộc tấn công
Cho đến nay, dấu hiệu rõ ràng nhất cho thấy liên kết không hợp pháp có thể là URL đã xuất hiện trong một khoảnh khắc trước khi người dùng bị chuyển hướng. Điều này có thể chỉ xuất hiện trong một phần nhỏ của giây và dễ bị bỏ lỡ. Tuy nhiên, trên trang xác thực X, chúng ta tìm thấy dấu hiệu đầu tiên cho thấy đây là một cuộc tấn công lừa đảo. Ứng dụng yêu cầu một danh sách dài các quyền kiểm soát tài khoản toàn diện, bao gồm theo dõi và bỏ theo dõi tài khoản, cập nhật hồ sơ và cài đặt tài khoản, tạo và xóa bài viết, tương tác với bài viết của người khác, và nhiều hơn nữa. Những quyền này có vẻ không cần thiết cho một ứng dụng lịch và có thể là dấu hiệu cứu sống một người dùng cẩn thận khỏi cuộc tấn công. Nếu quyền được cấp, những kẻ tấn công sẽ có quyền truy cập vào tài khoản khi người dùng được cho một dấu hiệu khác với việc chuyển hướng đến calendly.com mặc dù có bản xem trước Google Calendar.
“Calendly? Họ đã giả mạo Google Calendar, nhưng chuyển hướng đến Calendly? Thất bại lớn trong bảo mật hoạt động. Sự không nhất quán này có thể làm cho nạn nhân nghi ngờ,”
Cole nhấn mạnh.
Theo báo cáo GitHub của Cole về cuộc tấn công, để kiểm tra xem hồ sơ của bạn có bị xâm phạm và đuổi những kẻ tấn công ra khỏi tài khoản, được khuyến nghị rằng bạn nên truy cập trang ứng dụng kết nối X. Sau đó, anh ấy gợi ý thu hồi bất kỳ ứng dụng nào có tên “Calendar.”
